Was versteht man unter einem Pentest?
Ein Penetrationstest oft Pentest genannt ist ein bewährtes Vorgehen, um das Potential eines Angriffs auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung zu ermitteln. Dabei werden die einzelnen IT-Services (Webanwendung, Fileserver, Mailserver, etc.) und die zugrunde liegenden IT-Systeme (Betriebssystem, Datenbank, etc.) auf Schwachstellen überprüft.
Ziel ist es, die Erfolgsaussichten möglicher Angriffe einzuschätzen und daraus notwendige zusätzliche Sicherheitsmaßnahmen abzuleiten. Ein Penetrationstest kann auch für die Überprüfung der Wirksamkeit bereits umgesetzter Sicherheitsmaßnahmen verwendet werden.
Service
UNSERE LÖSUNGEN
Im Rahmen des Penetrationstest bzw. kurz Pentest, versuchen unsere IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken und IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Es werden hierfür ähnliche Methoden und Techniken verwendet, wie sie Hacker einsetzen, um unautorisiert in ein System einzudringen. In diesem Rahmen werden einerseits sämtliche IT-Systeme im Netzwerk auf Schwachstellen geprüft. Auf der anderen Seite erfolgt ein sogenanntes Social-Engineering. Unter anderem können durch simulierte Pishing E-Mails versucht werden Mitarbeitern sicherheitsrelevante Informationen, wie zum Beispiel Passwörter, zu entlocken.
Zielsetzung
Ablauf eines Pentest
Arten von IT-Penetrationstests
IT-Infrastruktur-Penetrationstest
Das Testen von z.B. Server-Systemen, Firewalls, WLAN-Netzen, VPN-Zugängen oder Firewall auf Sicherheitslücken gehört in diese Kategorie.
Dabei handelt es sich um die ersten Pentests, die in der Geschichte der IT-Security angeboten wurden. Damals wurden oft von ehemaligen Hackern Tests an der IT-Infrastruktur durchgeführt. Einen IT-Penetrationstest von (ehemaligen) Hackern durchführen zu lassen, ist jedoch keine gute Idee. Wenn der ehemalige Hacker doch rückfällig wird, ist der Schaden groß. Das Risiko ist einfach zu hoch.
Heute noch sind Infrastruktur-Penetrationstests ein wichtiger Faktor, um die IT-Sicherheit bei vielen Systemen sicherzustellen.
Webanwendungs-Penetrationstest
Webanwendungen sind interaktive Anwendungen, die über das Web zugänglich sind. Meist kann mittels eines Browsers mit der Anwendung gearbeitet werden. Ein Beispiel für eine klassische Webanwendung ist ein Webshop. Weitere Webanwendungen finden sich in Portalen für Kundenverwaltung, Fotobuchsoftware im Web, Systemen zum Monitoren von Servern und Diensten uvm. Kennzeichnend für eine Webanwendung ist, dass Benutzer mit dem System plattformübergreifend interagieren können.
Black-Box-Penetrationstest
Hier weiß der Tester nicht, welche Systeme ihn erwarten. Er hat keine Kenntnisse über die IT-Infrastruktur. Der Pentester muss genauso wie Hacker vorgehen und sich selbst ein Bild über die Infrastruktur schaffen. Dies ist genau das Gegenteil zum White-Box-Penetrationstest.
White-Box-Penetrationstest
Hier weiß der Pentester alles über die IT-Infrastruktur: Welche Server, Betriebssysteme, Dienste und Anwendungen laufen, welche Ports offen sind/sein sollten. Da der Tester alle Informationen hat, ist die Effektivität viel höher als bei einem Black-Box-Penetrationstest. Es kann genau auf die bekannten Systeme hin getestet werden. Der Soll-Ist-Vergleich der IT-Sicherheit tritt hier am klarsten zu Tage.
Grey-Box-Penetrationstest
Hier weiß der Penetrationstester bereits etwas über die IT-Infrastruktur. Auch wird oft der Zweck der IT-Systeme schon beim Kundengespräch kurz angerissen. Es handelt sich um das häufigste Vorgehen, da oft zu testende IP-Bereiche festgelegt und möglicherweise bestimmte Systeme aus dem Test ausgeklammert werden.
Externer Pentest
Der externe Penetrationstest symbolisiert den „klassischen“ Cyberangriff von außen. Dabei versucht unser IT-Security-Experte über die aus dem Internet erreichbaren Systeme in das unternehmensinterne Netzwerk einzudringen. Im Fokus der Untersuchung liegen die Firewall und Systeme der Demilitarisierten Zone (DMZ – ein Netzwerk, das als Pufferzone fungiert und von der Firewall überwacht wird, wie z.B. Web- oder Mailserver), um anschließend die Möglichkeiten eines Datenzugriffs- oder Diebstahls aufzudecken. Unsere Experten versuchen auch – sofern erlaubt – von der DMZ in das interne Netzwerk vorzudringen.
Interner Pentest
Bei einem internen Penetrationstest liegt der Ausgangspunkt innerhalb des Unternehmensnetzwerks, d.h. der Angreifer hat bereits Zugang zum internen Netzwerk erhalten. Dies simuliert den Fall, dass ein Angreifer sich bereits auf dem Gerät eines Mitarbeiters befindet. Somit ist das Ziel des internen Pentests festzustellen, welche Schäden erfolgen können, wenn Unternehmenszugänge kriminell missbraucht werden. Ein Angriff von innen heraus kann oft einen größeren Schaden in kürzerer Zeit anrichten als ein externer Angriff, da einige Schutzsysteme bereits umgangen oder überwunden wurden.